JWTデバッガーは、JSON Web Token(JWT)をデコードして検査します。ヘッダー、ペイロード、署名をパースし、クレームの表示や有効期限のチェックが可能です。認証トラブルのデバッグ、OAuth/OIDCトークンの検査、外部ツールを使わずにJWTの内容を確認するのに最適です。
JWT(JSON Web Token)は、OAuth、OIDC、セッショントークンなど、現代のAPI認証における主要な形式です。しかし、JWTはドットで区切られた3つのBase64URLエンコード文字列で構成されており、そのままでは内容が分かりません。JWTデバッガーは、その文字列をヘッダー(アルゴリズム メタデータ)、ペイロード(クレーム)、署名の3つのパーツに分解してデコードし、構文ハイライト付きのJSONとして表示します。ペイロード内のiss(発行者)、sub(一意識別子)、exp(有効期限)、iat(発行時刻)、nbf(開始時刻)、aud(対象者)、jti(トークンID)などの標準クレームを解析。有効期限はUnixタイムスタンプから人間が読みやすい形式に変換され、有効、期限切れ、または開始前としてフラグが立てられます。※本ツールは、秘密鍵を必要とする署名の検証は行いませんが、トークンの内容を正確に可視化し、認証の問題を迅速に解決するのに役立ちます。
JWTをドットで分割し、ヘッダー、ペイロード、署名の各セグメントをBase64URLデコードします。それぞれ個別に、構文ハイライト付きで表示されます。
アルゴリズム(HS256、RS256、ES256)とトークンタイプを表示します。サービスがどの署名方式を使用しているかを素早く確認できます。
JSONペイロードをパースし、色分けされたキー、文字列、数値、真偽値でレンダリングします。すべてのクレームを一目で確認できます。
exp(有効期限)、iat(発行時刻)、nbf(開始時刻)をチェックします。トークンが有効か、期限切れか、あるいはまだ有効化されていないかを人間が読みやすい形式で表示します。
登録済みクレーム(iss、sub、aud、exp、iat、nbf、jti)を認識し、その意味を素早く参照できる注釈を提供します。
生のトークンがセグメントごとに異なる色で表示されるため、ヘッダー、ペイロード、署名を視覚的に区別できます。
APIが401 Unauthorizedを返した場合、トークンを貼り付けて、期限切れ、形式異常、または発行者が異なっていないかを確認します。
OAuth/OIDCフローから返されたアクセストークンやIDトークンをデコードして、付与されたスコープ、ユーザーID、有効期限を確認します。
必要なクレーム(ロール、権限、テナントIDなど)がトークンに含まれているかを、バックエンドに渡す前に確認します。
バックエンドサービスで生成されたトークンをデコードし、ペイロードがサービス側で意図した内容と一致しているか検証します。
セキュリティレビューの際、localStorageやcookieに保存されたトークンをデコードして、クライアント側でどのような機密データが露出しているかを評価します。
DevSuite ProのドックでJWTアイコンをクリックします。トークン入力フィールドと3つのデコードペインを備えたパネルが開きます。
APIレスポンス、Authorizationヘッダー、cookie、localStorageなどのJWTを貼り付けます。「Bearer 」プレフィックスの有無にかかわらず動作します。
ヘッダーペインにはアルゴリズムとタイプが表示されます。バックエンドが期待する方式(多くの場合HS256やRS256)が使われているか確認してください。
ペイロードペインにはすべてのクレームが構文ハイライト付きで表示されます。標準クレーム(iss、sub、expなど)は、その用途を示すフラグが立てられます。
ステータスバッジには「有効」「期限切れ」「開始前」と表示されます。期限切れの場合、それが認証エラーの原因である可能性が高いです。
DevSuite Pro を無料でインストールして、ブラウザで 39 以上の開発者ツールを利用しましょう。
